Transport und Verkehr

Transport picture

Im Sektor Transport und Verkehr versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit einer kritischen Dienst­leistung – dem Personen- und Güterverkehr auf verschiedenen Verkehrsträgern. Diese Dienstleistung muss mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmens­größen überschreiten.

Nr. Unternehmen Scope
   Betreiber kritischer Anlagen Anlage über Schwellenwert (KRITIS)
KRITIS-Definition Transport und Verkehr:
   Besonders wichtige Einrichtung Unternehmen (NIS2)
  • Branche Luft, Schiene, Schifffahrt, Straße
  • ≥250 Mitarbeiter oder
  • >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
   Wichtige Einrichtung Unternehmen (NIS2)
  • Branche Luft, Schiene, Schifffahrt, Straße, Post/Kurier
  • ≥50 Mitarbeiter oder
  • >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
NIS2-Definition Transport und Verkehr:
  • Post und Kurierdienste: Postdienstleistungen und Kurierdienste
  • Luftverkehr: Luftfahrt, Flughafenleitungsorgane, Flughäfen, Flugverkehrskontrolldienste
  • Schienenverkehr: Eisenbahninfrastrukturbetreiber, Eisenbahnverkehrsunternehmen
  • Schifffahrt: Beförderungsunternehmen Passagiere und Fracht, Leitungsorgane Häfen, Wasserstraßen
  • Straßenverkehr: Verkehrsbeeinflussung, intelligente Verkehrssysteme

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
Thema Betreiber kritischer Anlagen Einrichtungen
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz NIS2-Umsetzung
Fristen ab 2024 ab 2026 ab 2024
Scope Kritische Anlage Kritische Anlage Unternehmen
Pflichten Registrierung
Vorfallsmeldungen
Sanktionen
Prüfungen
Registrierung
Vorfallsmeldungen
Sanktionen
Registrierung
Vorfallsmeldungen
Sanktionen
Maßnahmen Informationssicherheit
Risikomanagement
IT-Sicherheit
Angriffserkennung SzA
Resilienz
Risikomanagement
Physische Sicherheit
Informationssicherheit
Risikomanagement
IT-Sicherheit
Nachweise Audits Stichproben Stichproben
Regulator BSI BBK BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

up

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Transport und Verkehr in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.

aus BSI-KritisV August 2021, Anhang 7
Nr. Anlage Beschreibung Schwellenwert (pro Jahr)
1.
Luftverkehr
1.1.1 Passagierabfertigung an Flugplätzen im Sinne §2 Nr. 4 BADV mit Anlage 1, Nr. 2/3 20 MioPassagiere
1.1.2 Frachtabfertigung an Flugplätzen im Sinne §2 Nr. 4 BADV mit Anlage 1, Nr. 4 750 Tsd tGüter
1.1.3 Infrastrukturbetrieb eines Flugplatzes Gesamtheit sonstiger Bodenabfertigung nach §2 Nr. 4 BADV mit Anlage 1, Nr. 5/7/9/10 20 Mio
750 Tsd t
Passagiere
Güter
1.1.4 Flugsicherungs­dienste Flugsicherungsdienste nach (EU) 2017/373 17,5 TsdFlugbewegungen
1.1.5 Verkehrszentrale Fluggesellschaft Planung, Steuerung, Überwachung, Flugbetrieb; Disposition von Personal und Wartung 20 Mio
750 Tsd t
Passagiere
Güter
1.1.6 Flughafen­leitungsorgan Verwaltung und Betrieb Flughafen/-netz; Koordinierung und Überwachung 20 Mio
750 Tsd t
Passagiere
Güter
1.2
Schienenverkehr der Eisenbahn
1.2.1 Personenbahnhof Bahnhof des Reiseverkehrs gemäß §4 Abs. 1 und 2 EBO höchsteBahnhofskategorie
1.2.2 Güterbahnhof Bahnhof des Güterverkehrs gemäß §4 Abs. 1 und 2 EBO 23 Tsdausgehende Züge
1.2.3 Zugbildungsbahnhof Bahnhof zur Bildung von Zügen 23 Tsdgebildete Züge
1.2.4 Schienennetz und Stellwerke Schienennetz gemäß §4 Abs. 3-7 und 10-11 EBO samt Stellwerke Kernnetz
(EU) 1315/2013
Deutscher Teil
1.2.5 Verkehrssteuerungs- und Leitsystem Zentrale Disposition Zugbetrieb EIU Kernnetz
(EU) 1315/2013
Deutscher Teil
1.2.6 Leitzentrale Zentrale Überwachung EVU zur Überwachung, Maßnahmen, Disposition von Zügen, Personal, Wartung 8,2 Mio Zugkilometer
730 Mio Tonnenkilometer
disponierter Personenverkehr
disponierter Güterverkehr
1.3
See- und Binnenschiff­fahrt
1.3.1 Betrieb von Bundeswasserstraßen sicherer Betrieb von Wasserstraßen nach §1 Abs. 4 Nr. 1 WaStrG 17 Mio tGüterverkehrsdichte
1.3.2 Verkehrssteuerungs- und Leitsystem Revier- und Verkehrszentralen der Wasserstraßen- und Schifffahrts-Verwaltung des Bundes 17 Mio tGüterverkehrsdichte
1.3.3 Hafenleitungsorgan Koordinierung und Verwaltung Hafenverkehr, Koordinierung und Überwachung 50 Mio tGüter
1.3.4 Hafeninformations­system IT-Platform wie PCS, CCS, SSP, oder nach 2010/65/EU 50 Mio tGüter
1.3.5 Umschlaganlage Ladung, Umschlag, Sortierung, Abstellen zwischen Verkehrsträgern 3,27 Mio tFracht
1.3.6 Leitzentrale Seeschifffahrt zur operativen Steuerung von Seeschiffen nach Fahrplan 1,875 Mio tDisponierte Frachtmenge
1.3.7 Leitzentrale Binnenschifffahrt IT-System zur Disposition des Schiff-Raums der Binnenschifffahrts-Flotte 345,5 Mio TonnenkilomenterTransportleistung
1.4
Straßenverkehr
1.4.1 Verkehrssteuerungs- und Leitsystem Verkehrsbeeinflussung im Straßenverkehr inkl. Betriebstechnik, TK-Netzen und Einrichtungen nach §1 Abs. 4 Nr. 1/3/4 FStrG Verkehrssteuerungs- und Leitsystem für das Netz der Bundesautobahnen
1.4.2 Verkehrssteuerungs- und Leitsystem im kommunalen Straßenverkehr Steuerung und Überwachung von Lichtsignalanlagen, Verkehrs-beeinflussungsanlagen, Verkehrswarn- und Informationssystemen 500 TsdEinwohner der versorgten Stadt
1.4.3 Intelligentes Verkehrssystem im Sinne §2 Nr. 1 ISVG 500 TsdNutzer
1.5
ÖPNV
1.5.1 Schienennetz und Stellwerke öffentlicher Straßen­personenverkehrs (ÖSPV) Schienennetz des ÖSPV im Sinn §4 Abs. 1-3 PBefG samt Stellwerke, Beeinflussungsanlagen, Fahrstromversorgung, Haltestellen 125 Miounternehmens­bezogene Fahrgastfahrten
1.5.2 Leitzentrale ÖSPV Betreiberseitige Überwachung und Steuerung des Verkehrs, Fahrgastsicherheit, Fahrgastinformation, Disposition Personal/Fahrzeuge, sowie Flottentelematik 125 Miounternehmens­bezogene Fahrgastfahrten
1.6
Logistik
1.6.1 Betrieb Logistikzentrum Bereitstellung, Verteilung, Lagerung, Bearbeitung oder Umschlag von Gütern 17,55 Mio t
53,2 Mio
Gütermenge
Sendungen
1.6.2 Logistiksteuerung- oder Verwaltung Betreiberseitiges, zentrales IT-System zur Gesamtkoordinierung und -steuerung von Logistikdienstleistungen 17,55 Mio t
53,2 Mio
Gütermenge
Sendungen
1.7
Verkehrsträger­übergreifend
1.7.1 Wettervorhersage, Gezeitenvorhersage, Wasserstandsmeldung Messung meteorologischer Größen, zur Beobachtung von Wetter und Klima sowie zur Messung von Gezeiten- und Wasserstand Gesetzliche Verpflichtung im Sinne§4 Abs. 1 DWDG
§1 Abs. 9 SeeAufgG
1.7.2 Bodenstation Satelliten­navigationssystem Bodeninfrastruktur (zum Beispiel Bodenstationen, Kontrollzentren) im SinneArtikel 28 EU 1285/2013

up

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Luftverkehr

Für die Anlagen auf Flugplätzen (1.1.1 bis 1.1.3), Flughäfen (1.1.6) und Fluggesell­schaften (1.1.5) sind die Schwellenwerte ohne Herleitung:

Für die Flugsicherung (1.1.4) berechnet sich der Schwellenwert aus 0,035 Flugbewegungen zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:

Schienenverkehr

Für Personenbahnhöfe (1.2.1) und das Netz (1.2.4 und 1.2.5) ohne Herleitung:

Für Bahnhöfe im Güterverkehr (1.2.2 und 1.2.3) berechnet sich der Schwellenwert sich aus 1460 disponierten Tonnenkilometern zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen, mit 32 Tsd Tonnenkilometern pro Güterzug:

Für Leitzentralen von EVU (1.2.6) beim Personenverkehr ohne Herleitung, beim Güterverkehr mit 1460 disponierten Tonnenkilometern zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:

See- und Binnenschifffahrt

Für Wasserstrassen, Leitsysteme, Hafenleitung und Hafeninformation (1.3.1 bis 1.3.4) ohne Herleitung:

Für Umschlaganlagen (1.3.5) berechnet sich der Schwellenwert aus durchschnittlich 223 Mio Tonnen Gesamttransport der Binnenschifffahrt und 300 Mio Tonnen Güterumschlag in deutschen Seehäfen bei 500.000 (von 80 Mio) versorgten Personen.

Für Seeschifffahrt (1.3.6) und Binnenschifffahrt (1.3.7) berechnet sich der Schwellenwert aus 3,75 Tonnen Frachtmenge in der Seeschifffahrt und 691 Tonnenkilometern Transportleistung zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:

Straßenverkehr

Für die Verkehrssteuerung und Leitzentralen von Bundesautobahnen (1.4.1), kommunalem Straßenverkehr (1.4.2) und Intelligentes Verkehrssystem (1.4.3) ohne Herleitung:

ÖPNV

Für Schienennetze und Leitzentralen im ÖSPV (1.5.1 bis 1.5.2) ohne Herleitung.

Logistik

Für Logistikzentren und -steuerung (1.6.1 und 1.6.2) berechnet sich der Schwellenwert aus 35,1 Tonnen Gütern im Straßenverkehr zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen. Für Stückgut (Sendungen) wird ein Durchschnitts­gewicht von 330kg angenommen.

Verkehrsträger­übergreifende Anlagen

Für die Wettervorhersage und Satellitennavigation (1.7.1 und 1.7.2) aus gesetzlichen Verpflichtungen:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtungen, mittlere Unternehmen und Post und Kurierdienste als wichtige Einrichtungen.

aus NIS2-Umsetzungsgesetz, Mai 2024
† - gemeint sind immer ganze Unternehmen als Betreiber von ...
Nr. Teilsektor Einrichtungsart† Besonderheit
Transport und Verkehr (Sektor, Anlage 1 und 2)
1.1
Post und Kurierdienste (Branche)
1.1.1 Postdienstleistungen §4 Nr. PostG
einschließlich Kurierdienste
2.1
Luftverkehr (Teilsektor)
2.1.1 Luftfahrtunternehmen Art. 3 Nr. 4 (EG) 300/2008
2.1.2 Flughafenleitungsorgane Art. 2 Nr. 2 RL 2009/12/EG
Flughäfen Art. 2 Nr. 1 RL 2009/12/EG inkl. Kernnetz-Flughäfen
inkl. Einrichtungen, die innerhalb von Flughäfen befindliche zugehörige Einrichtungen betreiben
2.1.3 Flugsicherungsdienste §27c (2) Nr. 1 lit. a) und Nr. 2-6 LuftVG
2.2
Schienenverkehr (Teilsektor)
2.2.1 Eisenbahninfrastrukturbetreiber §2 Nr. 6, 6a AEG inkl. zentraler Einrichtungen, die den Zugbetrieb disponieren
2.2.2 Eisenbahnverkehrsunternehmen §2 Nr. 3 AEG
Serviceeinrichtungen § 2 Nr. 9 AEG
2.3
Schifffahrt (Teilsektor)
2.3.1 Passagier- und Frachbeförderungsunternehmen in Binnen-, See- und Küstenschifffahrt nach Anhang I (EG) 725/2004 ausschließlich der einzelnen betriebenen Schiffe
2.3.2 Leitungsorgane von Häfen Art. 3 Nr. 1 2006/65/EG
Hafenanlagen Art. 2 Nr. 11 (EG) 725/2004
inkl. Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
2.3.3 Anlage oder System zum sicheren Betrieb einer Wasserstraße §1 (6) Nr. 1 WaStrG
2.4
Straßenverkehr (Teilsektor)
2.4.1 Anlage oder System zur Verkehrsbeeinflussung inkl. der Einrichtungen nach §1 (4) Nr. 1, 3, 4 FStrG – z. B. Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, TK-Netze der Bundesautobahnen
2.4.2 Intelligente Verkehrssysteme §2 Nr. 1 IVSG

up

Regulierung und Standards

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Industrienormen

BSI IT-Grundschutz-Profile

up

Weitere Informationen

Literatur

  1. Prognose Securitybedarf und Bewertung möglicher Sicherheits­konzepte: Technologie­prognose, Forschungs­bericht 20, Deutsches Zentrum für Schienenverkehrs­forschung, Januar 2022
  2. Zoning and Conduits for Railways, European Union Agency for Cybersecurity, Februar 2022
  3. Railway Cybersecurity - Good Practices in Cyber Risk Management, European Union Agency for Cybersecurity, November 2021
  4. ENISA-Studie Railway Cybersecurity, European Union Agency for Cybersecurity, November 2020
  5. ENISA-Guidelines - Cyber Risk Management for Ports, European Union Agency for Cybersecurity, Dezember 2020
  6. ENISA-Studie Cyber Security and Resilience of Intelligent Public Transport, European Union Agency for Cybersecurity, Januar 2016

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. Verordnung über Bodenabfertigungsdienste auf Flugplätzen (Bodenabfertigungsdienst-Verordnung - BADV) vom 10. Dezember 1997 (BGBl. I S. 2885), die zuletzt durch Artikel 1 der Verordnung vom 6. Dezember 2018 (BGBl. I S. 2442) geändert worden ist
  3. Eisenbahn-Bau- und Betriebsordnung (EBO) vom 8. Mai 1967 (BGBl. 1967 II S. 1563), die zuletzt durch Artikel 2 der Verordnung vom 5. April 2019 (BGBl. I S. 479) geändert worden ist"
  4. Bundeswasserstraßengesetz (WaStrG) in der Fassung der Bekanntmachung vom 23. Mai 2007 (BGBl. I S. 962; 2008 I S. 1980), das zuletzt durch Artikel 335 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden
  5. Bundesfernstraßengesetz (FStrG) in der Fassung der Bekanntmachung vom 28. Juni 2007 (BGBl. I S. 1206), das zuletzt durch Artikel 2 des Gesetzes vom 8. August 2020 (BGBl. I S. 1795) geändert worden ist"
  6. Personenbeförderungsgesetz (PBefG) in der Fassung der Bekanntmachung vom 8. August 1990 (BGBl. I S. 1690), das zuletzt durch Artikel 329 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  7. Gesetz über die Aufgaben des Bundes auf dem Gebiet der Seeschiffahrt (Seeaufgabengesetz - SeeAufgG) in der Fassung der Bekanntmachung vom 17. Juni 2016 (BGBl. I S. 1489), das zuletzt durch Artikel 337 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  8. Gesetz über den Deutschen Wetterdienst (DWD-Gesetz) vom 10. September 1998 (BGBl. I S. 2871), das zuletzt durch Artikel 341 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  9. Verordnung (EU) Nr. 1285/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 betreffend den Aufbau und den Betrieb der europäischen Satellitennavigationssysteme